ЮрФак: изучение права онлайн

О необходимости развития компьютерной криминалистики

Автор: Пастухов П.С.

Развитие цифровой экономики[1], навигационной деятельности[2], появление "цифровой валюты", массовое внедрение "интернет-вещей", каждодневное увеличение больших пользовательских данных, создание новой информационно-технологической отрасли научных знаний, создание новых профессий, связанных с информационными технологиями, постоянное увеличение услуг информационного характера неизбежно порождают новые информационно-правовые отношения, что приводит к технологизации законодательства.

Как отмечается в Стратегии развития отрасли информационных технологий в Российской Федерации, масштаб влияния отрасли информационных технологий на государство значительно превосходит сугубо отраслевые эффекты. Развитие информационных технологий является одним из важнейших факторов, способствующих решению ключевых экономических, социальных задач государственной политики[3].

При этом преступники все чаще используют информационные технологии в преступных целях, совершают квалифицированные "бесконтактные" преступления, говоря компьютерным языком, удаленным доступом. В таких ситуациях значительно уменьшается количество традиционных трасологических следов, но в то же время появляется большое количество цифровых следов преступления. В этой связи общество и государство должны предпринимать упреждающие шаги на предотвращение, пресечение, раскрытие и расследование информационных преступлений на новой технологической базе. В обществе неизбежно возникает потребность в организации и развитии такой правоохранительной деятельности, которая противостояла бы современным вызовам, связанным со злоупотреблением компьютерными технологиями. Компьютерная преступность вынудила компьютерные и правоохранительные профессии развивать новые области знаний и возможности сбора и анализа доказательств. Между тем настоящие учебные курсы криминалистики и уголовного процесса не отвечают вызовам сегодняшнего дня, не отражают необходимых и назревших перемен в своем содержании.

Как ранее мы отмечали, центральным звеном в таком противодействии должна стать компьютерная криминалистика как отрасль знаний, умений и навыков, набор компетенций, обеспечивающих деятельность по выявлению информационных преступлений, криминалистическому исследованию электронной доказательственной информации[4]. В России имеется небольшое количество работ на эту тему, но это единичные случаи[5]. Но технологии меняются так быстро, что потребность в компьютерной криминалистике увеличивается с появлением каждой новой информационно-телекоммуникационной технологии, совершением нового информационного преступления, появлением высокотехнологического оборудования для исследования компьютерных устройств и мобильных средств связи.

Компьютерная криминалистика своим содержанием включает обнаружение, восстановление данных, собирание электронных доказательств, криминалистический анализ компьютерных средств и данных, направленных на раскрытие и расследование преступлений. Другими словами, компьютерная криминалистика — это сбор, сохранение, анализ и представление данных, связанных с любыми компьютерными средствами, мобильными сотовыми телефонами, любыми устройствами, фиксирующими информацию в цифровой форме. Причем цифровые доказательства могут быть полезны не только по уголовным делам, но и в гражданских спорах и трудовых разбирательствах. При этом компьютер, смартфон могут играть одну из трех ролей при совершении преступления. Он может быть предметом преступного посягательства, быть орудием и средством совершения преступления или может служить хранилищем доказательств, в котором хранится ценная информация о преступлении. В некоторых случаях компьютер может иметь несколько ролей. При расследовании дела важно знать, какие роли играет компьютер в преступлении, а затем адаптировать процесс расследования к этой конкретной роли. Применение информации о том, как компьютер использовался в преступлении, также помогает при поиске доказательств. Если компьютер был взломан через файл сетевого пароля, то следователь будет знать, как и где искать файлы для взлома паролей и файлы паролей. Знание того, как использовался компьютер, поможет сузить процесс сбора доказательств. В настоящее время огромные размеры жестких дисков могут занять очень много времени, поэтому сотрудники правоохранительных органов нуждаются в такой информации, способствующей ускорить процесс сбора цифровых доказательств.

Итак, цель компьютерной криминалистики заключается в восстановлении, собирании, анализе и представлении цифровой и доказательственной информации таким образом, чтобы ее можно было использовать в качестве доказательств в суде.

Компьютерная криминалистика — это новый вид деятельности при работе с цифровыми следами преступлений. Специфический характер цифровых следов требует использования новых технико-криминалистических средств, выработки строгих руководящих принципов, новых стандартов объективности, проверки, достоверности и оценки доказательств. Специфичность цифровых следов проявляется в том, что компьютерные данные мгновенно меняются; компьютерные данные невидимы для человеческого глаза; их можно рассматривать только с применением обычных компьютерных средств или специального экспертного оборудования и проведения соответствующих процедур. Процесс сбора компьютерных данных может существенно изменить его, а процесс открытия файла или его распечатки не всегда нейтрален. Исследование цифровых следов происходит, например, в ходе криминалистической деятельности по установлению: какие веб-сайты были посещены пользователем; какие файлы были загружены; когда файлы были в последний раз доступными; попытки скрыть или уничтожить доказательства; какие были попытки сфабриковать доказательства; электронных копий документов, которые были удалены из печати; отправленных файлов по электронной почте и др. Причем предварительное и экспертное исследование требует сохранности исследуемого объекта в первоначальном виде для возможной перепроверки в ходе уголовного судопроизводства.

Специалист в сфере компьютерной криминалистики должен выполнять следующие функции:

— сбор данных;

— дублирование и сохранение данных;

— восстановление данных;

— поиск документов;

— преобразование мультимедиа;

— выступление в качестве экспертов свидетелей в суде;

— исследование компьютерных данных;

— иные функции.

Одно из главных условий выполнения функций криминалистического исследования компьютерных данных — сохранение изъятых компьютерных данных в неизменном виде, так как это главное условие для проверки доказательств. При несоблюдении этого условия изъятое доказательство может быть признано недопустимым. Для обеспечения неизменности необходимо дублирование и сохранение данных.

Современные технико-криминалистические средства позволяют быстро и безопасно восстанавливать и анализировать удаленные и недоступные компьютерные данные. Способность восстанавливать утраченные данные становится возможной благодаря применению экспертами передовых технологий восстановления, использованию технических знаний обработки цифровой информации. Например, когда пользователь удаляет электронное письмо, на этом устройстве могут сохраняться следы этого сообщения. Хотя сообщение недоступно для пользователя, специалисты имеют возможность его восстановить и найти соответствующие доказательства.

Одним из уникальных технико-криминалистических средств, используемых в компьютерной криминалистике для исследования мобильных телефонных устройств, является аппаратно-программный комплекс Мобильный Криминалист, который позволяет специалисту исследовать:

— общую детальную информацию об устройстве;

— контакты (все поля и фотографии);

— пропущенные/исходящие/входящие звонки, звонки Facetime, а также автоматически восстановленные удаленные звонки с определенными ограничениями;

— органайзер (встречи, напоминания, дни рождения, заметки, задачи и т.д.);

— сообщения SMS, MMS, iMessage, E-mail с вложениями, а также автоматически восстановленные удаленные сообщения с определенными ограничениями;

— созданные пользователем словари;

— фотографии, видео, аудио записи, а также голосовые заметки;

— GPS и XMP-координаты фотографий, сделанных камерой устройства;

— соединения Wi-Fi;

— логи устройства;

— пароли к учетным записям владельца устройства и точкам Wi-Fi;

— данные из более 400 приложений: Apple Maps, Booking.com, Facebook, Google+, PayPal, Safari, Skype, Viber, WhatsApp и т.д.;

— удаленные данные, найденные с помощью встроенного Просмотрщика баз SQLite;

— данные, сохраненные в файлах .plist;

— лента событий — все события в хронологическом порядке с координатами из одного или нескольких устройств;

— анализ активности владельца устройства;

— маршрут передвижения владельца устройства;

— объединенные контакты — контакты, взятые из разных источников, в том числе из приложений;

— статистика общения одного или нескольких устройств;

— социальные связи одного или нескольких владельцев устройств, показанные на диаграмме или графе;

— важные улики — удобный способ поместить интересующие события из нескольких устройств в один список для дальнейшего анализа или экспорта[6].

Анализ информации мобильного устройства может производиться прямо из программы или посредством функции расширенного экспорта. Отчеты могут быть созданы в самых популярных текстовых форматах (XLS, RTF, PDF, XML, CSV, TSV и др.) и затем распечатаны или отправлены экспертам в отдаленные департаменты и отделения.

Более того, программа позволяет сохранять в файл архивы всех подключенных устройств и затем загружать их в Мобильный Криминалист на другом компьютере. Таким образом, вы можете подключить телефон, считать из него все данные и отправить извлеченную информацию для анализа экспертам на другой компьютер.

Современные версии поддерживают более 8 400 моделей мобильных устройств от Apple, Blackberry, Google, HTC, Nokia, Samsung, Sony и других производителей. Мобильный криминалист 2014 работает с устройствами на разных ОС: Android, Bada, Blackberry, IOS, MTK chipset (китайские телефоны), Symbian, Windows Mobile 5/6, Windows Phone и т.д.

Имеется несколько зарубежных аналогов Мобильного криминалиста, которые превосходят его по техническим возможностям. Например, XRY Logical — это быстрый метод извлечения, позволяющий получать и восстанавливать данные в режиме онлайн файловой системы с устройства прямо на месте преступления, напрямую связывая их с операционной системой устройства. XRY Physical позволяет экзаменаторам обойти операционную систему, чтобы загрузить всю систему и извлечь данные из устройства, а также позволяет преодолевать системы безопасности и шифрования на заблокированных устройствах[7].

Правоохранительными органами многих стран успешно применяется аппаратно-программный комплекс UFED[8]. Данное устройство позволяет:

— полное извлечение таких данных мобильного телефона, как телефонная книга, текстовые сообщения, фотографии, видеоизображения, журналы звонков (исходящих, входящих, пропущенных), звуковые файлы, ESN, IMEI, ICCID и IMSI и многое другое;

— клонирование идентификатора SIM-карты, анализ содержимого телефона без каких-либо сетевых операций и необходимости "взламывать" SIM-карту, заблокированную PIN-кодом;

— возможность извлечения данных из более чем 1 700 мобильных телефонов. Поддержка более 1 700 моделей мобильных телефонов, включая интеллектуальные устройства Apple iPhone, Symbian, Microsoft Mobile, Blackberry и Palm;

— мобильная судебная лаборатория в полевых условиях, портативное, быстрое и удобное на месте происшествия.

Еще одним из эффективных устройств является EnCase Forensic. Это локальное программное обеспечение для проведения компьютерно-технической экспертизы, являющееся, по сути, международным стандартом поиска цифровых улик и предоставления данных в суд. EnCase Forensic позволяет экспертам получать данные с помощью широкого спектра готовых фильтров и модулей, выявлять потенциальные доказательства путем криминалистического анализа информации, содержащейся на жестком диске, и подготавливать полные отчеты о полученных результатах, сохраняя при этом надежность и целостность полученных доказательств[9].

Эксперты компьютерной криминалистики должны быть в состоянии объяснить сложные технические процессы в понятном для понимания стиле. Это должно помочь судьям и другим участникам понять, как обнаруживаются компьютерные доказательства, где они находились, как они выглядят и какое имеют отношение к конкретной ситуации.

При проведении высокотехнологического расследования эксперты в области компьютерной экспертизы должны иметь высокий уровень компетенций расследования с использованием технологий. Компьютерные специалисты могут использовать множество методов обнаружения данных, которые находятся в компьютерной системе или для восстановления удаленной, зашифрованной или поврежденной информации о файле.

В настоящее время многочисленные организации на локальном уровне пытаются стандартизировать деятельность компьютерной криминалистики, но на сегодняшний день нет никаких обязательных стандартов сертификации, аккредитации и образования для цифровой судебной профессии. Обязательная стандартизация необходима для повышения доверия к криминалистическому исследованию, судебно-экспертной деятельности по исследованию цифровой информации в глазах общественности, других судебных наук и, что еще важнее, правовой системы.

В настоящее время в России почти нет правового регулирования и методических рекомендаций по производству криминалистических исследований цифровых устройств. В действующих нормативных актах содержится общая информация на использование компьютерных средств, баз данных, соблюдение законности, но не более[10].

Проблемы с собиранием цифровых доказательств и необходимость выработки правовой и методической основы тревожат правоохранительные органы всех государств. Поэтому в феврале 1998 г. была создана научная рабочая группа по цифровым доказательствам (SWGDE) на основе совместных усилий руководителей лабораторий по борьбе с киберпреступностью. В рамах этой группы были разработаны общие правила обращения с цифровыми доказательствами[11]. В рекомендациях были выработаны принципы, стандарты, а также приведена и разъяснена терминология по этому виду деятельности.

Наибольшее развитие правила обращения с цифровыми следами получили в Великобритании и США. В этих странах разработан ряд правил, рекомендаций, руководств, регламентирующих порядок собирания цифровых доказательств. Так, например, в Великобритании в 2007 г. было принято Техническое руководство по хранению, воспроизведению и удалению цифровых изображений[12]. Затем в 2010 г. было разработано и принято Практическое руководство по собиранию компьютерных доказательств, в которых были указаны базовые принципы обращения с электронными доказательствами[13].

В 2014 г. разработано и принято Практическое руководство при работе с цифровыми следами преступлений. В этом приложении рассматриваются функции цифровой криминалистики для идентификации, изъятия, сохранения, расследования, оценки, отчетности и сохранности данных, извлеченных цифровых данных из стационарных и мобильных устройств[14]. В этом руководстве излагаются методы работы с цифровой информацией, ее фиксация, соблюдение необходимых ограничений, обеспечение достоверности извлекаемой информации. В руководстве по анализу сайтов, местоположения абонентов даются рекомендации по получению необходимой доказательственной информации из технических устройств и соответствующих провайдеров связи, обработке этих данных часто в сочетании с данными, полученными во время радиочастотной фиксации; представление этих данных в виде карт и таблиц либо с фактическим, либо экспертным отчетом[15].

В Руководстве по обеспечению достоверности, пригодности и надежности цифровых доказательств (validation) определены требования к ресурсам, техническим средствам, конкретным шагам, ограничениям и желаемым результатам[16].

В США в 2001 г. принят федеральный статут USA PATRIOT Act of 2001 г., в котором усилена роль государства в надзоре за телекоммуникационными средствами связи и упрощена процедура получения цифровых электронных доказательств[17]. В 2009 г. разработано подробное Руководство по поиску и изъятию электронных доказательств[18].

В заключение следует подчеркнуть, что наше общество постепенно превратилось в цифровое общество и внедрение цифровых технологий будет только нарастать в будущем. Нам нужны хорошо образованные и подготовленные специалисты по компьютерной криминалистике, чтобы придать легитимность профессии и успешнее противодействовать современным вызовам для защиты наших государственных и общественных интересов. Для этого необходимо разработать правовую и методическую основу обращения с цифровыми доказательствами в процессе доказывания в уголовном и других видах судопроизводств. Необходимо стандартизировать подготовку специалистов и выработать стандарты в области предварительного исследования цифровых следов, производства компьютерной экспертизы. Внедрение компьютерной криминалистики в учебные программы и планы позволит подготовить более квалифицированные кадры, что скажется на эффективности деятельности по раскрытию и расследованию не только информационных, но и других видов преступлений. С развитием компьютерной криминалистики в сфере уголовно-процессуальной деятельности будет сделан еще один шаг на пути модернизации и оптимизации уголовно-процессуального доказывания.

Библиографический список

1. Пастухов П.С., Лосавио М. Использование информационных технологий для обеспечения безопасности личности, общества и государства // Вестник Пермского университета. Юридические науки. 2017. Вып. 36. С. 231 — 236.

2. Федотов Н.Н. Форензика — компьютерная криминалистика. М.: Юридический Мир, 2007. 432 с.

 


[1] Распоряжение Правительства РФ от 28.07.2017 N 1632-р "Об утверждении программы "Цифровая экономика Российской Федерации" // http://www.pravo.gov.ru.

[2] Федеральный закон от 14.02.2009 N 22-ФЗ "О навигационной деятельности" (в ред. от 13.07.2015) // Российская газета. 18.02.2009.

[3] Распоряжение Правительства РФ от 01.11.2013 N 2036-р "Об утверждении Стратегии развития отрасли информационных технологий в Российской Федерации на 2014 — 2020 годы и на перспективу до 2025 года" // СЗ РФ. 2013. N 46. Ст. 5954; распоряжение Правительства РФ от 08.12.2011 N 2227-р "Об утверждении Стратегии инновационного развития Российской Федерации на период до 2020 года" // СЗ РФ. 2012. N 1. Ст. 216.

[4] Пастухов П.С., Лосавио М. Использование информационных технологий для обеспечения безопасности личности, общества и государства // Вестник Пермского университета. Юридические науки. 2017. Вып. 36. С. 231 — 236.

[5] Федотов Н.Н. Форензика — компьютерная криминалистика. М.: Юридический Мир, 2007. 432 с.

[6] Oxygen Software // http://www.oxygen-forensic.com/ru (дата обращения: 10.10.2017).

[7] https://www.msab.com/products/xry/ (дата обращения: 10.10.2017).

[8] https://www.cellebrite.com/en/law-enforcement/investigation/ (дата обращения: 10.10.2017).

[9] http://guidancesoftware.ru/Forensic.html (дата обращения: 10.10.2017).

[10] Федеральный закон от 07.02.2011 N 3-ФЗ "О полиции" (в ред. от 28.02.2017) // СЗ РФ. 2011. N 7. Ст. 900; Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации. М., 2013; http://www.genproc.gov.ru/documents/nauka/document-104550 (дата обращения: 10.10.2017).

[11] Digital Evidence: Standards and Principles // https://archives.fbi.gov/archives/about-us/lab/forensic-science-communications/fsc/april2000/swgde.htm (дата обращения: 08.10.2014).

[12] Storage, Replay and Disposal of Digital Evidential Images Website // http://science.homeoffice.gov.uk/hosdb/ (дата обращения: 10.10.2017).

[13] Good Practice Guide for Computer based Electronic Evidence // http://www.digital-detective.net/acpo-good-practice-guide-for-digital-evidence/ (дата обращения: 10.10.2017).

[14] Code of Practice and conduct: Digital Forensic Services. 2014 // https://www.gov.uk/govemment/collections/forensic-science-providers-codes-of-practice-and-conduct (дата обращения: 10.10.2017).

[15] Ibidem.

[16] Guidance: Method Validation in Digital Forensics. 2016. // https://www.gov.uk/government/collections/forensic-science-providers-codes-of-practice-and-conduct (дата обращения: 10.10.2017).

[17] Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT ACT) Act of 2001 // https://www.justice.gov/archive/ll/highlights.htm (дата обращения: 10.10.2017).

[18] Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations. 2009. Published by Office of Legal Education Executive Office for United States Attorneys // https://www.justice.gov/sites/default/files/criminal-ccips/legacy/2015/01/14/ssmanual2009.pdf (дата обращения: 10.10.2017).


Рекомендуется Вам: